Linux 上的 ZFS 是否已支持加密?如果不支持,是否有计划?
我找到了大量有关 ZFS+LUKS 的信息,但这些都毫无意义:我想要 ZFS 加密,这样我就可以使用 zfs send 向“不受信任”的备份服务器进行复制。也就是说,zfs send 片段应该被加密。
如果 ZoL 不支持加密,除了创建 zVols 并在其上使用 LUKS+EXT(失去许多 ZFS 优势)之外,还有其他更优雅的方法吗?
答案1
还没有。
工作正在进行中
ZFS 加密支持 · 问题 #494 · zfsonlinux/zfs · GitHub(2011-12-14)
ZFS 加密,作者:tcaputi · 拉取请求 #4329 · zfsonlinux/zfs(2016-02-11) – 对话有 593 个部分,“… 太大,GitHub 无法有效处理 … 将其移至新的 PR …”
ZFS 加密,作者:tcaputi · 拉取请求 #5769 · zfsonlinux/zfs(2017-02-09)
参考
如何管理 ZFS 数据加密(Darren Moffat,甲骨文,2012-07-23)
Tom Caputi 的 ZFS 本机加密 - YouTube(2016-10-10)
OpenZFS 即将推出原生加密!zfs create -o crypto=on。感谢 Tom Caputi@datto(马修·阿伦斯,2017-03-17)
正在进行的工作的替代方案
正如其他人指出的那样,你确实可以选择卢克斯– Linux 统一密钥设置 – 开启Linux 上的 ZFS(ZoL)。
答案2
通常对于使用 ZoL 并需要加密的人来说,encryptfs 并不可取,因为您会同时失去性能和功能。
当 ZFS 工作时它是文件系统,而不是当你在它上面分层其他东西的时候(同样,你能,但这不是最理想的)。这就是 encryptfs 所做的(在 ZFS 之上分层加密文件系统),也是您看到如此多关于 LUKS 的原因(它以相反的方式工作 - 它可以配置 ZFS 之上由内核管理的加密容器 - 性能非常出色,并且您不会丢失任何 ZFS 功能。
不幸的是,正如其他人指出的那样,ZoL 确实不是包括本机文件系统加密,例如此时的 Oracle 实现。您必须将加密分层到 ZFS 魔法之上 (encryptfs) 或之下 (LUKS)。
答案3
不,Linux 上的 ZFS 不支持本机加密。另一个选项是encryptfs,但在这个节骨眼上,你将无法找到原生解决方案。
答案4
提交已合并,现在版本 0.7.1 支持 Linux 上的完整本机加密。